Win / ADでは、Kerberos認証ではサービスアカウントが同じである必要がありますか?
WireSharkトレースで戻ってくるのを確認しているKRB5KDC_ERR_BADOPTION(13)の原因を特定しようとしています。
Xxx/server.fqdn:portをターゲットサーバーでxxxサービスが実行されているドメインアカウントに関連付けるようにSPNを設定しました(domain\targetと呼びます)。デリゲートとして機能するサーバーサービスは、別のサービスアカウント(ドメイン\デリゲートなど)で実行されています。これは許可されていますか?または、すべてのサービスを同じサービスアカウントで実行する必要がありますか(つまり、ターゲットサービスと仲介サービスの両方で使用されているサービスアカウントが同じADサービスアカウントで実行されており、両方のサービスに適切なSPNが設定されています)同じADサービスアカウントに関連付けられています)
いいえ、同じである必要はありません。ただし、同じドメインに存在する必要があります。 http://blogs.technet.com/b/askds/archive/2008/06/13/understanding-kerberos-double-hop.aspx を参照してください。 http://blogs.technet.com/b/tristank/archive/2007/06/18/kdc-err-badoption-when-attempting-constrained-delegation.aspx が役立つ場合があります。